関西電力など大手電力会社で相次ぐ情報漏洩、新電力の顧客情報を不正閲覧

2022年12月27日、関西電力株式会社は子会社の関西電力送配電株式会社が管理していた新電力会社の顧客情報を不正に閲覧し活用していたとして、電力・ガス取引監視等委員会から報告徴収を受領したことを公表しました。※1
2016年の電力小売全面自由化により電気の小売業への参入が自由化され、新電力会社の新規参入が相次ぎました。その際に大手電力会社は電気を送るために必要な送配電部門を別会社として分離し、元の会社との資本関係は維持しつつも、あくまで中立として各電力会社に送配電ネットワークを提供することになりました。これを実現する上で、送配電を行う会社は親会社に対して厳格な情報遮断等を行い、新規事業者の保有する情報にアクセスできないようにする必要がありました。しかし、今回のケースでは本来なら遮断されているはずの新電力の顧客情報等が閲覧できていたことになります。

この原因として、1月13日の報告書※2 では、2016年の全面自由化を踏まえて画面制御によるシステムの論理的分割を行ったが、古いシステム言語と新しいシステム言語が混在していたことでシステムが複雑化しており、情報遮断の対象を漏らしてしまったことをあげています。今後はシステムの共用を解消するためシステムの完全分離を進めるとのことです。

1月30日の報告※3 によると、2022年4月1日~12月19日(約6ヵ月間)で関西電力の社員ら1,013名が新電力の契約情報40,806件を閲覧したとしています。また閲覧の主な目的としてはお客様の申し出に対する契約状況の確認や問合せ対応ですが、一部営業活動にも利用していたとのことです。閲覧後に新電力から関西電力に契約切替があった顧客も確認されています。※4

23年2月6日現在、関西電力と同様の顧客情報漏洩が東北電力、九州電力、四国電力、中部電力、中国電力の5社で明らかになっています。電力自由化による公正な競争を揺るがす事態に、今後の動向が注目されます。

内部関係者や関連会社からの不正閲覧を防ぐために

本件は電力業界特有の事情から発生してしまった特殊な漏洩事案ですが、他の業界においても同じような漏洩が発生してしまう可能性がないとは言い切れません。内部関係者や関連企業にも閲覧させてはいけない情報を管理する場合、アクセス制御の設計が非常に重要となります。またアクセス制御が正しく施されているかについても定期的なチェックが必要となるでしょう。

ファイル単位でアクセス制御を施すならIRM(Information Rights Management)システムを導入するのもお勧めです。IRMによる暗号化はすべて一律の権限ではなく、特定の企業にしか閲覧できないような設定で暗号化を行うことができます。機微情報の漏洩対策にご興味のある方は是非ご連絡ください。

参考

※1 新電力顧客情報の取扱いに係る報告徴収の受領について | 関西電力株式会社 2022年12月27日

※2 新電力顧客情報の取扱いに係る調査結果の報告について(電力・ガス取引監視等委員会からの報告徴収への報告)| 関西電力株式会社 2023年1月13日

※3 監督官庁からの新電力顧客情報の取扱いに係る報告徴収への追加報告(関西電力送配電から新たな閲覧実績の受領)| 関西電力株式会社 2023年1月30日

※4 小売顧客情報の漏洩等に係る報告について | 関西電力送配電株式会社 2023年1月13日